ABD merkezli kurumsal yazılım firması JumpCloud, devlet destekli bir hack grubunun sistemlerini neredeyse bir ay önce sınırlı bir dizi müşteriye odaklanan yüksek hedefli bir saldırının bir parçası olarak ihlal ettiğini söyledi.
Şirket, saldırganların bir mızrak aktı saldırısı yoluyla sistemlerini ihlal etmesinden bir hafta sonra 27 Haziran'da olayı keşfetti.
JumpCloud, müşterilerinin o sırada etkilendiğine dair kanıt bulamasa da, şirket kimlik bilgilerini döndürmeye ve tehlikeye atılan altyapıyı yeniden inşa etmeye karar verdi.
5 Temmuz'da JumpCloud, saldırıyı araştırırken ve IR ortakları ve kolluk kuvvetleri ile işbirliği içinde kötü niyetli etkinlik belirtileri için günlükleri analiz ederken "küçük bir müşteri seti için komutlar çerçevesinde olağandışı etkinlik" keşfetti.
Aynı gün, şirket müşterilerin kuruluşlarını korumak için tüm yönetici API anahtarlarını zorlar ve yeni anahtarlar oluşturmaları için onları bilgilendirir.
JumpCloud Ciso Bob Phan, "Devamlı analiz saldırı vektörünü ortaya çıkardı: Komutlar çerçevemize veri enjeksiyonu. Analiz ayrıca saldırının son derece hedeflendiği ve belirli müşterilerle sınırlı olduğu şüphelerini de doğruladı." Dedi.
Diyerek şöyle devam etti: "Bunlar gelişmiş yeteneklere sahip sofistike ve kalıcı düşmanlardır. En güçlü savunma hattımız bilgi paylaşımı ve işbirliği iledir."
Danışmanlık JumpCloud'da paylaşılan olay ayrıntıları ile birlikte, ortakların ağlarını aynı tehdit grubundan benzer saldırılardan güvence altına almalarına izin vermek için uzlaşma göstergeleri (IOCS) yayınladı.
JumpCloud, saldırıdan etkilenen müşteri sayısı hakkında henüz herhangi bir bilgi vermedi ve ihlalin arkasındaki APT grubunu belirli bir durumla ilişkilendirmedi.
PAN, "Müşterilerimizi gelecekteki tehditlerden korumak için kendi güvenlik önlemlerimizi geliştirmeye devam edeceğiz ve bu tehditle ilgili bilgileri paylaşmak için hükümet ve endüstri ortaklarımızla yakın çalışacağız." Dedi.
Ocak ayında JumpCloud, bir Circleci güvenlik olayının müşterileri üzerindeki potansiyel etkisini de araştırdı.
2013 yılında kurulan ve merkezi Louisville, Colorado'da bulunan Hizmet Olarak JumpCloud Dizini Platformu, 160'dan fazla ülkede 180.000'den fazla kuruluşa tek oturum açma ve çok faktörlü kimlik doğrulama hizmetleri sunmaktadır.
Rockwell, kritik altyapıyı hedefleyen yeni APT RCE istismarı konusunda uyarıyor
JumpCloud, 'Devam Eden Olayı' arasında Yönetici API anahtarlarını sıfırlar
Koyu pembe bilgisayar korsanları govt ve askeri organizasyonları hedeflemeye devam ediyor
Barracuda, sıfır gün kusuruyla ihlal edilen e-posta ağ geçitleri uyarıyor
Microsoft: Notorious Fin7 hackerları Clop Fidye Yazılımı Saldırılarına Dönüş
Kaynak: Bleeping Computer